计算机网络安全应急响应小组隶属于某非盈利机构,主要负责重要安全事件的应急处理。除此以外,机构内还设有威胁情报搜集、安全评估等小组。该机构拥有政府背景,与国内公安机关、电信运营商、安全厂商、大型企业有密切联系,同时与六十余个国家的组织建立了合作伙伴关系。
星期二,上午10:00
钟欣兄弟们,来活儿了!十分钟后集合去本市最大的第三方支付公司——金猫宝,他们爆发了大量客户资金被盗事件。
钟欣,应急响应小组组长,编程能力极强,毕业后加入某金融企业从事核心系统开发,两年后因种种原因来到现在的单位从事信息安全相关工作。
场景:金猫宝安全部办公室
金猫宝张经理钟组长,你们可算来了!
钟欣张总,接到你的消息我们立刻组织技术骨干第一时间就赶来了。先介绍一下:吕浩博,擅长网络、服务器安全。
钟欣金良骏,擅长硬件、嵌入式系统安全。
钟欣姚梦璐,擅长电子取证。
金猫宝张经理有各位高手在,我心里踏实多了,那咱们开始吧。
钟欣张总先简单介绍下情况吧。
金猫宝张经理好的。两天前,我们的客服中心陆续接到客户反应账户资金莫名减少的情况。调阅记录发现,这些客户都通过手机号+身份证后六位+短信动态验证码的方式购买了手机充值卡、游戏充值卡等虚拟商品。客户投诉数量一天比一天多,不瞒你说,仅昨天一天就有两百多人投诉,我担心如果不采取有效措施,今天将达到一千人。
钟欣事发之后你们怎么应对的?
金猫宝张经理对于投诉的客户我们进行了赔付,并冻结了支付功能,防止资金进一步被盗。另外,我们对短信支付功能进行了安全检测,没发现什么漏洞。
钟欣很显然,是短信认证出现了问题。投诉的客户有什么特征吗?比如集中在某个电信运营商或者某个省什么的?
金猫宝张经理没有特别明显的特征,只是广东和广西的客户比较多。
钟欣恩…良骏,你联系下网安大队的李警官、电信公司的周总,还有圈儿里的朋友,看有没有相关情报。
钟欣浩博,你跟金猫的同事看看服务器有没有入侵的情况。
钟欣梦璐,你跟金猫的同事过一遍短信验证那段程序的代码,看看有没有漏洞。
钟欣张总,咱们再聊聊细节。从客户那边了解到什么信息?
金猫宝张经理客户都否认购买充值卡是本人行为,还说自己的账户密码保护的很好,我们从登陆日志里面也没有发现异地登录的情况。
钟欣恩,这次事件是登录外的短信支付功能,账户密码应该没有泄漏,关键是短信验证码泄漏了。
金猫宝张经理说到短信,有几名客户反映曾收到过奇怪的短信,说是什么聚会照片,有个链接,点了之后让安装一个相册应用。
钟欣短信链接还有吗?!
金猫宝张经理客户给删了…
金猫宝小孙张总,我妈今天上午收到一条这样的短信,还让我看来着。
金猫宝张经理快转发过来
钟欣太好了!我觉得这很可能是一款短信劫持病毒,我们来分析下吧。
这是一个安卓应用程序,可能为了更快更隐蔽地完成安装,安装包只有120K。由于并未加壳,可以使用APKTool对APK文件进行逆向。
解包后查看androidmanifest文件,发现该应用获取了读取、发送短信和读取联系人等敏感权限。
进一步找到解包得到的Ja**件,使用JD-GUI反编译,查看程序源码。
程序启动后,首先会给黑客的邮箱发送一条“安装成功”的通知,随后实时监听收件箱中第三方支付公司和银行的短信,将这些短信全部发送到指定邮箱。
跟踪发送邮件函数,居然发现黑客把邮箱和密码都记在客户端本地了
查看strings.xml就能找到邮箱地址和密码,登录邮箱可以看到陆续有邮件发进来。
这其中就有很多金猫宝短信支付的短信。
钟欣张总,让你的人从邮箱中几条金猫宝的支付认证短信,看与客户投诉的交易是不是同一笔。
金猫宝张经理小孙,你去确认一下。
金猫宝小孙好的,张总。
十分钟过后……
金猫宝小孙张总,找了10个账号的短信,全都用来购买充值卡了,与我们之前发现的情况一致,可以肯定客户的钱就是通过这种方式被黑客盗取的。
钟欣作案手法确定了,下一步看看这个木马病毒是怎么传播的。
代码显示,木马会注册一个服务,读取通讯录的手机号,给所有号码发送一条含有木马链接的短息,同时为了获取接收者的信任,短信开头还会写上名字,结尾写上当前手机号用户的名字。而且发送之后还会清除发件箱的短信,隐藏意图。
金猫宝张经理这样的话传播速度会非常快,比我之前预估的还要快!
钟欣张总我建议暂时冻结登录外的短信认证支付功能,防止事态进一步扩大。
金猫宝张经理好,我向领导汇报一下。
金良骏钟哥,初步检测没发现入侵的迹象。
姚梦璐代码里也没发现漏洞。
吕浩博钟哥,圈儿里的朋友说有个叫“四十大盗”的声称近期要“干票大的”,但我还没查到具体信息。
钟欣好,这里的事情差不多了,咱们先回单位。
场景:应急响应小组中央控制室
钟欣梦璐,走应急流程,联系安全厂商把木马样本加到病毒库里面,通知银行和其他第三方支付公司密切关注类似事件的动态。
钟欣良骏、浩博,分析下木马样本,看能不能找到木马作者。
一个小时后~
金良骏钟哥,我们在whois上面查到黑客邮箱注册了很多域名,其中大部分都是金融类钓鱼网站。有三个网站上出现了同一个QQ号,QQ上显示位置是广东佛山。
吕浩博通过邮箱在社工库里面查到黑客还注册过一些推广平台和任务平台,使用邮箱密码能登录上其中两个,网站里面显示上次登录IP是广东省。
吕浩博这个人经常发布一些刷单任务,还提供了刷单软件,有理由相信他是黑产圈的一员。
津ICP备2022002164号-2 © 2016-2023 iHuaBen.com 版权保护声明 不良信息举报:jubao@ihuaben.com
京公网安备11010502036362号